• Liebe Community,
    Aufgrund des niedrigen Traffics im Forum haben wir uns dazu entschlossen, es nur noch im Lesemodus zu betreiben. Neue Kommentare sind also nicht mehr möglich, wohl aber das Lesen der bestehenden Foreninhalte als Archiv. Ihr könnt diesen Account auch auf unseren anderen Portalen (pcgameshardware.de, pcgames.de, buffed.de etc.) nutzen oder Euren Account löschen lassen. Wir bitten um euer Verständnis und danken euch für die vielen tollen Beiträge.“

Apps: Coronavirus-Warn-App der Bundesregierung ab sofort verfügbar

Fritz_The_Cat

Bekanntes Mitglied
Vom Grundsatz her sind mir all diese Apps, egal wie sie "gestrickt" sind, viel zu technokratisch.
  1. Eine App schützt nicht vor Ansteckung.
  2. Sie benachrichtigt den Nutzer bestenfalls, wenn es bereits zu sät iata und sich zu nah bei einem Corona-positiven Menschen befunden hat.
  3. … und das auch nur dann, wenn der "erste" Infizierte seine Erkrankung per freiwilliger Eingabe in die App "an die große Glocke" hängt bzw. gehängt hat.
  4. Praxis hierzulande ist, daß Menschen erst dann getestet werden, wenn sie erkennbare Symptome einer Erkrankung zeigen.
  5. Daß (im Beispiel) "der zweite" durch die Mitteilung seiner App nun weiß, daß er sich zu nah an einem Erkrankten befunden hat, nützt ihm dann gar nichts, solange er nicht ebenfalls umgehend getestet wird und ggfs. die Nachricht von seiner Erkrankung dann wiederum per App an seine Mitmenschen weitergeben kann.

Da sind also schon die ersten eklatanten Schwachstellen im Tracingsystem. Daß es überhaupt erst einigermaßen funktionieren kann, wenn die App eine Marktpenatration von mehr als 60% erreicht, kommt noch erschwerend hinzu.

mein Fazit: Das Ding ist/wird ein sehr sehr teurer Rohrkrepierer.
 

Ripcord

Bekanntes Mitglied
Beruht ein Impfstoff nicht auf ungefährlichen toten Viren gegen die der Mensch dann Antikörper bildet? Warum ist das so schwer da etwas zu entwickeln?
 

IchBinNichtAreamobile.de

Bekanntes Mitglied
Beruht ein Impfstoff nicht auf ungefährlichen toten Viren gegen die der Mensch dann Antikörper bildet? Warum ist das so schwer da etwas zu entwickeln?
Die Schwierigkeit ist wohl, dass die Immunreaktion auch tatsächlich ausgelöst werden muss bzw diese Antikörper gebildet werden sollen und dass keine massiven Nebenwirkungen auftreten auf dem Weg dahin.

Dies wird auch nicht immer mit "toten" Erreger gemacht, sondern teilweise auch durch abgeschwächte bzw inaktivierte Erreger. Beides trifft auf Aktivimpfungen zu und Passivimpfungen basieren auf der injektion des "Immunserums" selbst, sodass eine Immunreaktion gar nicht erst erfolgt bzw gar nicht nötig ist.
 

IchBinNichtAreamobile.de

Bekanntes Mitglied
Die App ist noch gar nicht richtig da, schon gibt es die ersten negativen Schlagzeilen.

Es sei aber angemerkt, dass zumindest der Relay-Angriff keine besonders wahrscheinlicher Angriffsvektor ist. Das deanonymisieren muss ich mir aber nochmal ansehen, der Artikel hat ja leider keinerlei Quellenangabe :(
 

IchBinNichtAreamobile.de

Bekanntes Mitglied
(Quelle: https://arxiv.org/pdf/2006.05914.pdf?)
Es sei vorweggenommen, dass das grundsätzliche Prinzip von DP-3T bzw der Tracing API von den Erkenntnissen unberührt bleibt, insbesondere bleibt der Hauptschlüssel (Master Key) geheim.

Es gibt drei Arten von Schlüsseln, die genutzt werden. Der Hauptschlüssel > den Tagesschlüssel > die flüchtige ID. Nur Letztere wird ständig ausgesendet, aber auch ständig geändert (2-10min?) und im Voraus generiert - die Änderung dieser ID soll gleichzeitig mit der Änderung der Bluetooth MAC erfolgen.

Bei einer festgestellten Infektion, sollen dann x Tagesschlüssel an den Hauptserver weitergegeben werden, wobei x die Anzahl an Tagen ist in denen man laut Arzt Ausscheider gewesen ist. Und genau hier setzt das Tracking an.

Tracking via Tracing
Bei dem Versuchsaufbau wurden in der Stadt sechs Bluetooth Empfänger aufgestellt, die hier passiv die eingehenden flüchtigen IDs mitprotokollieren. Hier konkret wurde alle 30 Sekunden geschaut wer in der Nähe ist und zusammen mit Zeitstempel hinterlegt. Im Papier sagen sie auch selbst, dass sie mit diesen Daten ersteinmal nichts anfangen können. In dem Versuch wurde dann anhand des Tagesschlüssels die flüchtigen IDs ermittelt, die zu einem Nutzer gehören und anhand dessen konnte man dann sagen, wann dieser Nutzer sich wann der Nutzer sich zum Beispiel bei der Polizei, dem Krankenhaus, Pub oder Stadtverwaltung aufgehalten hat. Die Forscher sagen das es mit bestimmten Techniken, je nach Akteur, möglich ist anhand dieser Daten den Besitzer dieser Schlüssel zu ermitteln also ihn zu deanonymisieren (unter anderem mit Kontaktgraphen).

Wormhole Attack
An mehreren Orten in Marburg, Gießen und Darmstadt wurden Raspberry Pis aufgestellt. Diese nahmen vermittels des integrierten Bluetooths die flüchtigen Schlüssel der Passanten auf und luden diese an einen zentralen Server hoch. Im Anschluss daran wurden diese Daten dann an die jeweils anderen Raspberry Pis hochgeladen und ausgesendet. Die IDs der Passanten sind dadurch an mehreren Orten gleichzeitig.
 
Zuletzt bearbeitet:

IchBinNichtAreamobile.de

Bekanntes Mitglied
Meine persönliche Einschätzung ist, dass das erstmal valide Punkte sind, aber unter einigen Einschränkungen. Der Größte dürfte sein, dass wir die Implementierung von der Google/Apple API gar nicht kennen. Allerdings ist es sehr wahrscheinlich, dass vieles, wenn nicht alles, vom DP-3T-Protokoll übernommen wurde. Der nicht offenliegende Quellcode, ist hier auch ein weiterer Angriffsvektor (von einigen mehr).

Tracking ist im Grunde meine größte Sorge. Die Sorge hatte ich bei einer Diskussion mit Laborant auch schonmal geäußert. Einschränkend muss man dazu sagen, dass sich diesen Angriffsvektor nur bestimmte Akteure leisten können und auch durchführen können (zu nennen wären da Google, Apple, BND/NSA). Ob die diese Daten brauchen ist nicht unbedingt klar, da Google offensichtlich kein Tracing-Profil erstellen kann ohne diese API, insofern ist zumindest schonmal sicher, dass es sich um zusätzliche Daten handelt. Von der Intuition würde ich sagen, dass diese eher uninteressant für Geheimdienste ist, aber sehr wohl interessant für Marktforschung.

Bei der Wormhole Attack ist nicht klar wer davon profitieren soll, so wie es im Versuchsaufbau durchgeführt wurde. Die Forscher schlagen allerdings ein Szenario vor indem Signale von Bewohnern in Quarantäne weitergegeben werden um Ziele in Quarantäne zu zwingen zB einen Konkurrenten. Des Weiteren kann man den Radius natürlich auch vergrößern indem man einfach eine größere/stärkere Antenne verwendet. Bei der Version wie im Versuchsaufbau denke ich, kann man aushebeln indem man die Zeitstempel eines Nutzers vergleicht und wenn er an zwei Orten gleichzeitig ist, kann man diesen Datenpunkt ggf rausnehmen. Die Sender dürften verschiedene IDs haben, allerdings könnte man diese sogar vielleicht direkt ausschließen, wenn man mehrere bekannte Tagesschlüssel hat.

Die wichtigste Frage zum Schluss, die sich die Entwickler eigentlich vorher hätten beantworten müssen. Wozu das Ganze? Das Ganze kann sicherlich missbraucht werden, bringt der Bevölkerung aber eigentlich gar nichts.
 
Zuletzt bearbeitet:

Antiappler

Aktives Mitglied
@Ripcord

"Beruht ein Impfstoff nicht auf ungefährlichen toten Viren gegen die der Mensch dann Antikörper bildet? Warum ist das so schwer da etwas zu entwickeln?"

Und selbst wenn irgendwann wirklich ein Impfstoff gefunden wird, heißt das nicht eine Immunität für 10 Jahre, wie z.B. bei Tetanus. Es kann auch sein, dass man jedes Jahr einen neuen Impfstoff entwickeln muss, wie beim Grippeimpfstoff, weil sich der Virus immer wieder verändert.

 
Oben